Der Transfer von Mitarbeiterdaten einer österreichischen Gesellschaft an die Konzernmutter ist gängige Praxis, verletzte bisher aber oft das Datenschutzgesetz. Jede Datenverarbeitung, auch jede Weitergabe von Daten an eine andere Konzerngesellschaft, darf nur aufgrund eines gesetzlich anerkannten Zwecks erfolgen. Jedenfalls war aber in jedem solchen Fall eine Meldung an das Datenverarbeitungsregister vorzunehmen. Es musste dabei für jede einzelne Datenart, die an den Konzern übermittelt werden sollte, im Detail überprüft werden, ob ein gesetzlich anerkannter Zweck dafür vorliegt. Sollten Daten in das EU-Ausland transferiert werden, bedurfte es hiefür meist auch noch einer expliziten Genehmigung durch die Datenschutzkommission.
Wer diese "Formalitäten" vergaß, setzte sich der Gefahr beträchtlicher (Verwaltungs-)Strafen aus. Hält man sich aber an das Gesetz und stellt die nötigen Anträge bzw. erstattet die vorgesehenen Meldungen, braucht man vor allem viel Geduld. Entscheidungsfristen von einem Jahr oder mehr waren zuletzt an der Tagesordnung - ein Umstand, der bei internationalen Konzernen auf völliges Unverständnis stößt.
Vor kurzem trat hier durch die Novellierung der Standard- und Musterverordnung eine Teilliberalisierung ein. Für einige genau definierte Datenverarbeitungen (Kontakt- und Termindatenbank, Karrieredatenbank, Mitarbeiterbeteiligungs- und Bonusprogramme sowie für technische Helpdesk- und Wartungsdienste) wurde die Meldungs- und Genehmigungspflicht gestrichen. Voraussetzung ist aber, dass die dabei transferierten Daten nicht über jene Datenarten hinausgehen, die in der Verordnung im Detail aufgezählt sind.
Wird dieser Rahmen überschritten oder erfolgt der Transfer für andere Zwecke, muss nach wie vor der beschwerliche bisherige Weg beschritten werden. Ob dieses "Konzernprivileg" zur Anwendung gelangt, muss daher in jedem Einzelfall geprüft werden. (Georg Röhsner, DER STANDARD; 28.11.2012)